- •Управление инцидентами
- •1. Обработка инцидентов информационной безопасности (Часть 1)
- •Принципы реализации
- •Политика расследования инцидентов информационной безопасности
- •Структура команды по расследованию инцидентов информационной безопасности
- •Взаимодействие со структурой организации
- •Жизненный цикл процедуры реагирования на инциденты информационной безопасности
- •Ресурсы и инструментарий расследования инцидентов информационной безопасности
- •Литература
- •2. Обработка инцидентов информационной безопасности (Часть 2)
- •Превентивные мероприятия
- •Обнаружение и анализ инцидентов информационной безопасности
- •Признаки инцидента информационной безопасности
- •Анализ инцидентов информационной безопасности
- •Документирование инцидента информационной безопасности
- •Приоритезация инцидентов информационной безопасности
- •Рассылка уведомлений об инциденте информационной безопасности
- •Литература
- •3. Обработка инцидентов информационной безопасности (Часть 3)
- •Стратегия противодействия распространению последствий инцидента
- •Сбор свидетельств инцидента и их обработка
- •Идентификация нарушителя
- •Процедура ликвидации последствий инцидента информационной безопасности
- •Хранение материалов расследования инцидентов информационной безопасности
- •Правила хранения материалов расследования инцидента информационной безопасности
- •Контрольные листы мероприятий при проведении расследования инцидента информационной безопасности
- •Литература
- •4. Система управления инцидентами информационной безопасности
- •5. Управления инцидентами
- •Обзор общепризнанных практик по управлению инцидентами
- •Построение процесса управления инцидентами
- •Раздел 4.2.3 Мониторинг и анализ суиб.
- •Планирование и подготовка
- •Заключение
- •6. Информационная безопасность: управления инцидентами
- •Немного статистики
- •Система управления инцидентами
- •Заключение
- •7. Управление инцидентами иб
- •Сложности управления инцидентами информационной безопасности
- •Как управлять инцидентами информационной безопасности?
- •Обнаружение и регистрация инцидента
- •Устранение причин, последствий инцидента и его расследование
- •Корректирующие и превентивные действия
Заключение
Эффективно организовав и внедрив процесс управления инцидентами, компания получит следующие бизнес-преимущества:
снижение отрицательного влияния инцидентов на бизнес организации;
доступность необходимой для бизнеса управленческой информации;
превентивное определение мер по улучшению информационной защищенности.
Правильно организованный процесс управления инцидентами в подразделениях службы информационной безопасности это:
четкое определение для всех специалистов ролей и ответственности за качественное и своевременное реагирование на инциденты;
оперативная информация для мониторинга эффективности принимаемых защитных мер;
прозрачность контроля за эффективностью работы сотрудников подразделения;
повышение качества взаимодействия специалистов в смежных ИТ- и бизнес-подразделениях.
Система автоматизации процесса управления инцидентами дополнительно позволит:
обрабатывать и хранить информацию о событиях и инцидентах информационной безопасности, а также обо всех действиях по их устранению;
оперативно принимать решение по устранению возникшего инцидента, основываясь на анализе информации о предыдущих инцидентах;
проводить анализ накопленных данных.
6. Информационная безопасность: управления инцидентами
Тема управления инцидентами информационной безопасности является на сегодняшний день одной из наиболее часто обсуждаемых и актуальных для организаций. И это не случайно. Как показывают реальные жизненные примеры, необходимость своевременного выявления инцидентов и реагирования на них обусловлена в первую очередь тем, что зачастую на карту поставлены не только конфиденциальность, целостность и доступность информации, но также репутация и деньги, которых в одночасье может лишиться компания, не заметив инцидента, о котором сигнализировали средства защиты.
Существует много примеров, когда после тех или иных действий злоумышленников компании теряли ценную информацию, тратили большие суммы на устранение последствий инцидентов безопасности, и потом долгое время вынуждены были восстанавливать репутационный ущерб и налаживать взаимоотношения с партнерами и клиентами. Естественно, все эти факторы крайне негативно сказывались на бизнес-деятельности. Поэтому заранее нужно быть готовым к тому, что инцидент безопасности может затронуть и вашу организацию. Чтобы своевременно его идентифицировать, правильно и по возможности быстро среагировать, сократив тем самым ущерб, который может быть нанесен, важно иметь структурированный, хорошо спланированный и главное работающий процесс управления инцидентами ИБ.
Немного статистики
Институт компьютерной безопасности США – CSI в течение нескольких последних лет проводит ежегодное исследование, посвященное безопасности и компьютерным инцидентам. Хотелось бы представить некоторые результаты, которые были получены по 2008 году.
Итак, почти половина опрошенных респондентов (43%) признались в том, что в прошедшем году они пострадали от инцидентов ИБ. Стоит отметить, что к данной цифре стоит относиться с некоторой долей скепсиса по причине того, что зачастую отсутствие данных по инцидентам ИБ, скорее всего не признак отсутствия инцидентов, а признак отсутствия знаний об их наличии. Поэтому можно предположить, что от инцидентов пострадал больший процент опрошенных.
Далее в исследовании задавался вопрос по типам зафиксированных инцидентов ИБ, от которых пострадали компании. Первую позицию заняли вирусы (50%), которые вернули себе лидерство по сравнению с прошлогодним исследованием, когда на первое место вышли инсайдерские злоупотребления. Следом в списке расположились, соответственно, инсайдерские злоупотребления (44%) и кража ноутбуков и мобильных устройств (42%). Эти цифры говорят о том, что человеческий фактор является одной из основных причин возникновения инцидентов, и ему должно уделяться большее внимание в виде контроля действий пользователей, повышения уровня их осведомленности в вопросах безопасности.
В 2007 году CSI ввел новый вопрос в свое исследование, касающийся количества направленных атак, которое организация испытала за год. Под направленными атаками подразумеваются атаки, которые совершались целенаправленно на заранее выбранную организацию. В результате опроса 2008 года 27% опрошенных признались в том, что испытали хотя бы одну направленную атаку за прошедший год. Это лишний раз подтверждает распространенное мнение о том, что злоумышленники работают точечно и при осуществлении злонамеренной активности нацелены в первую очередь на получение финансовой выгоды.
Также в рамках исследования респонденты оценили ущерб (в денежном эквиваленте), который они понесли от тех или иных инцидентов ИБ. Средние финансовые потери на 1 респондента составили $288,618. Сумма достаточно впечатляющая. Поэтому нужно быть готовым заранее к тому, что инцидент безопасности может затронуть и вашу организацию. И чтобы своевременно идентифицировать инцидент, правильно и по возможности быстро на него среагировать, сократив тем самым ущерб, который может быть нанесен, важно иметь комплексный процессный подход к работе с инцидентами ИБ.